图片101

SDK安全合规白皮书提到：在某些情况下，SDK以自己的名义为用户提供服务，通过激活SDK接口调用或启动用户安装的另一个应用服务，因为第三方SDK提供商有机会披露自己的品牌，用户对企业实际提供的具体服务有明显的感知，可以采用用用户授权+平台授权+用户授权的三重授权原则，解决合法性问题。

此外，当一些SDK收集用户信息时，用户无法明显感知到。由于第三方SDK不直接面对用户，应用程序开发人员需要提供通知用户（如添加通知链接、弹出通知、变更隐私政策等），并获得用户的同意。应用程序开发人员可以添加SDK的使用，通知用户SDK收集个人信息的目的、数据收集类型、敏感信息，还需要通知接收人的身份和数据安全能力，并获得明确同意，甚至可以直接增加第三方SDK隐私政策链接。在用户撤回同意后，帮助用户删除第三方SDK中的相关数据。

应用程序开发人员还需要根据合同的相对性，根据第三方SDK收集用户的个人信息，承担合同法下的违约责任和网络安全法下的行政责任，并有义务将合规义务传递给第三方SDK提供商。

在实践中，部分企业还将要求其服务提供商在获得ISO27000系统认证后获得相应的认证。然而，大多数初创应用程序开发人员对第三方SDK没有发言权。SDK不会单独与初创应用程序开发人员签订合同或采取特殊的网络安全保护措施。因此，初创应用程序开发人员应妥善保留SDK接入相关合同和管理记录，确保相关方能够查阅，做好前期PIA工作，根据情况重新审查，完善隐私政策，获得用户对SDK收集数据的同意，进行技术检测，确保SDK个人信息收集，使用行为符合约定要求，定期审计SDK收集个人信息的行为。为确保数据安全事件或侵犯用户个人信息和隐私，应用程序开发人员应减少或免除责任。